| « | January 2026 | » | | 日 | 一 | 二 | 三 | 四 | 五 | 六 | | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | |
|
公告 |
| 暂无公告... |
| Blog信息 |
|
blog名称:天地无用
日志总数:55
评论数量:43
留言数量:1
访问次数:195697
建立时间:2008年4月17日 |
| |
|
 使用Java实现CA(三)(转)
软件技术
kkk888929 发表于 2008/4/22 14:10:34 |
| 前几次我已经基本上把如何做CA所需要的基础知识讲得差不多了,今天直接讲如何用Java程序来实现一个CA应该就不是什么太困难的事情了.
要做CA,第一步要准备好自己的证书和私钥.私钥如何从文件里面读取出来前面已经讲过了.从文件系统中读出证书的代码如下:
CertificateFactory certCF = CertificateFactory.getInstance("X.509"); X509Certificate caCert = certCF.generateCertificate(certBIS);
这里cerBIS是一个InputStream类型的对象.例如一个标准的X509v3格式的证书文件所形成的输入流.
第二步就是从用户那里获取输入,然后构造主体名称结构DN,如何构造DN上次已经说过了,如何从用户那里获取输入,这个不在本文讨论范围之内.
下一步就是获取用户的公钥,好和他所需要的证书对应起来.也有不少CA的做法就是在这里替用户现场生成一对密钥对,然后把公钥放到证书中签发给用户.这个应该看实际需要选择合适的方式.
现在一切信息都已经准备好了,可以签发证书了,下面的代码说明了这个过程:
//构造一个证书生成器对象
X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();
// 从CA的证书中获取签发者的主体名称(DN) // 这里有一点小技巧,我们要把JCE中定义的 // 用来表示DN的对象X500Principal转化成在 // BC Provider中的相应的对象X509Name // 先从CA的证书中读取出CA的DN进行DER编码 DERInputStream dnStream = new DERInputStream( new ByteArrayInputStream( caCert.getSubjectX500Principal(). getEncoded())); // 马上又从编码后的字节流中读取DER编码对象 DERConstructedSequence dnSequence = (DERConstructedSequence)dnStream.readObject(); // 利用读取出来的DER编码对象创建X509Name // 对象,并设置为证书生成器中的"签发者DN" certGen.setIssuerDN(new X509Name(dnSequence)); // 设置好证书生成器中的"接收方DN" certGen.setSubjectDN(subjectDN); // 设置好一些扩展字段,包括签发者和 // 接收者的公钥标识 certGen.addExtension(X509Extensions.SubjectKeyIdentifier, false, createSubjectKeyId(keyToCertify)); certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false, createAuthorityKeyId(caCert.getPublicKey())); // 设置证书的有效期和序列号 certGen.setNotBefore(startDate); certGen.setNotAfter(endDate); certGen.setSerialNumber(serialNumber); // 设置签名算法,本例中使用MD5hash后RSA // 签名,并且设置好主体的公钥 certGen.setSignatureAlgorithm("MD5withRSA"); certGen.setPublicKey(keyToCertify);
// 如果以上一切都正常地话,就可以生成证书了 X509Certificate cert = null; cert = certGen.generateX509Certificate(caPrivateKey);
这里是上面用到的生成签发者公钥标识的函数:
protected AuthorityKeyIdentifier createAuthorityKeyId(PublicKey pubKey) { AuthorityKeyIdentifier authKeyId = null;
try { ByteArrayInputStream bIn = new ByteArrayInputStream(pubKey.getEncoded()); SubjectPublicKeyInfo info = new SubjectPublicKeyInfo( (DERConstructedSequence)new DERInputStream(bIn).readObject()); authKeyId = new AuthorityKeyIdentifier(info); } catch (IOException e) { System.err.println("Error generating SubjectKeyIdentifier: " + e.toString()); System.exit(1); }
return authKeyId; }
生成主体公钥标识的函数和上面的类似,把AuthorityKeyIdentifier替换成SubjectKeyIdentifier就可以了.
这里要注意的是,CA的公钥也是在一份证书里,这种证书的特点是签发者DN和接收者DN一样,也就是说,这种证书是CA自己给自己颁发的证书,也就是"自签名证书",它上面的公钥是CA自身的公钥,用来签名的私钥就是该公钥对应的私钥.一般每个CA都要有这么一份证书,除非该CA不是根CA,即它的权威性不是由它自己证明,而是由它的上级CA证明.但是,最后总归要有一个根CA,它为各个安全应用程序的用户所信赖.
到这里我们已经把CA最基本的功能如何用Java实现讲完了,下一次讲如何从PKCS#10格式证书请求文件中读取出用户信息,然后直接签发公钥. |
|
|